[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0513] [security-announce] APPLE-SA-2003-10-03 Mac OS X 10.2.8 Revised
- To: harden-mac@xxxxxxxxxx
- Subject: [harden-mac:0513] [security-announce] APPLE-SA-2003-10-03 Mac OS X 10.2.8 Revised
- From: "Kogule, Ryo" <aqua_dabbler@xxxxxxx>
- Date: Sat, 4 Oct 2003 11:28:10 +0900
---------------------------------------------------------------
これは <security-announce@xxxxxxxxxxxxxxx> に投稿された
APPLE-SA-2003-10-03 Mac OS X 10.2.8 Revised
という記事の翻訳です。この記事は以下の URL で見る事が出来ます。
<http://lists.apple.com/mhonarc/security-announce/msg00037.html>
本翻訳は,米国 Apple Computer 並びに日本アップルコンピュータの許可
を得ていない翻訳であり,本翻訳に関して Apple Computer,アップルコ
ンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に
関して何ら責任を持てない事をご了解下さい。
この投稿は翻訳者個人の発意による翻訳であり,本メーリングリスト並びに
それを提供している freeml.com とは無関係です。
---------------------------------------------------------------
APPLE-SA-2003-10-03 Mac OS X 10.2.8 Revised
Mac OS X 10.2.8 が再び公開されました。これは特定のシステム設定で見
付かった問題に対処しています。Mac OS X 10.2.8 のセキュリティ強化は
最初のリリースと新たに入手可能になったものとで同一です。
================================================
この覚書では Mac OS X 10.2.8 での全てのセキュリティ強化に加えて,
次の新しい情報に関して説明しています。
・OpenSSL のセキュリティ強化(下記参照)が最近告知されたので,Mac
OS X 10.2.8 に於けるこの強化の存在を公開出来る様になりました。
・Mac OS X 10.2.8 の最新のリリースは PowerMac G5 システムをサポー
トしています。最初の 10.2.8 リリースは PowerMac G4 に対してのみで
した。
・Mac OS X 10.1.x システムに於ける Sendmail の問題の回避策の説明を
追加しています。
================================================
Mac OS X 10.2.8 には以下のセキュリティ強化が含まれています。
OpenSSL: CAN-2003-0543, CAN-2003-0544, CAN-2003-0545 を修正して
います。これは特定の ASN.1 の構造と証明書の検証コードにある潜在的な
問題に対処しています。迅速で信頼性のあるやり方でこのアップデートを配
付する為に,上記の CVE ID に対するパッチのみが適用されます。最新の
OpenSSL ライブラリ全体へのパッチが適用される訳ではありません。従って
“openssl version”によって得られる Mac OS X 10.2.8 の OpenSSL の
ヴァージョンは以下の様になります。
OpenSSL 0.9.6i Feb 19 2003
OpenSSH: Mac OS X 10.2.8 には CVE CAN-2003-0693, CAN-2003-0695,
CAN-2003-0682 に対処するパッチが含まれています。10.2.8 より前の
Mac OS X でこの脆弱性は,sshd をクラッシュさせる可能性によるサーヴィ
ス拒否に限定されます。一つ一つのログインセッションは個別の sshd を
持っている為,攻撃によってシステムの資源が使い果たされるまでは,既に
確立された接続は維持されます。
迅速で信頼性のあるやり方でこのアップデートを配付する為,上記の CVE
ID に対するパッチのみが適用されます。OpenSSH 3.7.1 への全てのパッチ
が適用される訳ではありません。従って“ssh -V”によって得られる Mac
OS X 10.2.8 の OpenSSH のヴァージョンは以下の様になります。
OpenSSH_3.4p1+CAN-2003-0693, SSH protocols 1.5/2.0,
OpenSSL 0x0090609f
fb_realpath(): CAN-2003-0466 を修正しています。これは
fb_realpath() 関数の off-by-one エラーで,攻撃者に任意のコードの実
行を許してしまう可能性があります。
arplookup(): CAN-2003-0804 を修正しています。arplookup() 関数は
ローカルリンク上でのルーティングの為の ARP 要求をキャッシュしていま
す。ローカルサブネット内限定ですが,攻撃者が十分な数の偽の ARP 要求
を送りつける事によって,カーネルメモリーが使い果たされ,最終的にサー
ヴィス拒否が引き起こされる可能性があります。
Sendmail: CVE CAN-2003-0694 と CAN-2003-0681 に対処しています。こ
れはアドレス解析に於けるバッファオーヴァフローとルールセット解析時の
潜在的なバッファオーヴァフローへの修正です。
================================================
Mac OS X 10.1.5 システムへの Sendmail のインストール方法
- - Unix コマンドラインから,以下の手順を踏んで下さい。
1. 次のコマンドを実行して,2003/09/17 にリリースされた Zalewski の
勧告に対する修正を含んだ sendmail のヴァージョン 8.12.10 をダウン
ロードして下さい。
curl -O ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz
2. 次のコマンドを実行してダウンロードしたファイルの完全性を確認して
下さい。
cksum sendmail.8.12.10.tar.gz
この値が“ 834313764 1892497 sendmail.8.12.10.tar.gz”となるはずです。
3. 以下の様にして配布物を伸長して下さい。
tar xvzf sendmail.8.12.10.tar.gz
4. 次の行を /etc/master.passwd ファイルに追加して下さい。
smmsp:*:25:25::0:0:Sendmail User:/private/etc/mail:/usr/bin/false
5. 次の行を /etc/group ファイルに追加して下さい。
smmsp:*:25:
6. ここで /Applications/Utilities/Netinfo Manager.app を起動して
netinfo データベースに同じ smmsp ユーザとグループを追加して下さい。最も
簡単な方法は,既にあるエントリーを複製して 4 と 5 の手順と一致する様に編
集する事でしょう。例えば users のところで“www”を選択して複製(commond
+D)し,“www のコピー”の uid/gid/name/home プロパティを手順 4 と一致
する様に編集します。同様に groups で“mail”を選択・複製し,name と gid
を手順 5 と一致する様に編集します。終了すれば users/smmsp エントリと
groups/smmsp エントリがある筈です。
7. これで配布物を構築する準備が整いました。sendmail-8.12.10 ディレクト
リに cd して,“make”と打ちます。
8. 次の二つの手順で新しい sendmail がインストールされます。
sudo mkdir /usr/share/man/cat1 /usr/share/man/cat5 /usr/share/man/cat8
sudo make install
ルートディレクトリのアクセス権が 755 である(あるいは
/etc/mail/sendmail.cf の DontBlameSendmail が設定されている)事を確
認してシステムを再起動して下さい。パッチが当てられた sendmail が動く筈
です。
================================================
Mac OS X 10.2.8 は以下から入手可能です。
・システム環境設定のソフトウェアアップデート
若しくは
・Apple の Software Downloads ウェブサイト:
PowerMac G4 systems
===================
Mac OS X Client (updating from 10.2 - 10.2.5):
http://www.info.apple.com/kbnum/n120244
ファイル名: "MacOSXUpdateCombo10.2.8.dmg"
SHA-1 ダイジェスト: f823736e3ab87f8152826491f4ac0126d7aacc82
Mac OS X Client (updating from 10.2.6 - 10.2.7):
http://www.info.apple.com/kbnum/n120245
ファイル名: "MacOSXUpdate10.2.8.dmg"
SHA-1 ダイジェスト: 2899de4e35c280d15f72b844b44311bfe36ed17c
Mac OS X Server (updating from 10.2.6):
http://www.info.apple.com/kbnum/n120246
ファイル名: "MacOSXServerUpdate10.2.8.dmg"
SHA-1 ダイジェスト: 93fe9b2a7b4e9676d641ebb836fb0e38a1f26c36
Mac OS X Server (updating from 10.2 - 10.2.5):
http://www.info.apple.com/kbnum/n120247
ファイル名: "MacOSXSrvrUpdCombo10.2.8.dmg"
SHA-1 ダイジェスト: 53a84558cb78591ce1904de96f816445a5b61b67
PowerMac G5 systems
===================
Mac OS X Update (G5) v10.2.8(G5)
http://www.info.apple.com/kbnum/n120248
ファイル名: "MacOSXUpdate10.2.5.dmg"
SHA-1 ダイジェスト: 991bf6984f9d5c57078a5f20b01aed03a631d0ac
For systems with the initial release (only) of Mac OS X 10.2.8
==============================================================
Mac OS X Server 10.2.8 Ethernet/Battery (updating from 10.2.8):
http://www.info.apple.com/kbnum/n120252
ファイル名: "MacOSXUpd10.2.8.dmg"
SHA-1 ダイジェスト: f0278755df440155708ed0f8aef2f9f8eb09810e
情報は Apple Product Security ウェブサイトにもあります。
http://www.apple.com/support/security/security_updates.html
---------------------------------------------------------------
翻訳:古暮涼 <aqua_dabbler@xxxxxxx>
《註記》
これまで vulnerability(脆弱性)と表記されていたのが,今回 security
enhancement(セキュリティ強化)という表記に統一されています。記憶にあ
る限り Apple の SA で security enhancement という用語が統一的に使わ
れたのは初めてです。Apple SA はこれまで文体がコロコロ変わっているので
これも偶々なのかもしれませんが,ちょっと注意する必要があるかもしれませ
んね,いろんな意味で。
--[PR]------------------------------------------------------------------
____⊂^ヽ 「えっ!まだ申し込みしてないの?」 ∠ニつ__
(____ ヽ / ____ )
(__ ) 【東急ハンズ新宿店から無料メルマガ配信中】/ __)
(__ / 無料登録はこちらから↓↓ ( __)
http://ad.freeml.com/cgi-bin/ad.cgi?id=ckgtD
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp